Auftragsverarbeitungsverträge wieder im Blick der Datenschutzbehörden
Seit Mitte Juli dieses Jahres stehen Datentransfers zwischen Unternehmen wieder auf der Agenda der Datenschutzbehörden. In einer koordinierten Aktion prüfen die Datenschutzbehörden aus Berlin, Niedersachsen, Rheinland-Pflanz, Sachsen, Sachsen-Anhalt und das Bayerische Landesamt für Datenaufsicht die Verträge zur Auftragsverarbeitung zwischen Unternehmen als Webseitenbetreiber und ihren Webhostern.
Bereits im Juni vergangen Jahres haben die Datenschutzbehörden in einer vergleichbaren Aktion die Umsetzung der „Schrems-II“-Entscheidung des Europäischen Gerichtshofes zu Drittstaatentransfers in Unternehmen kontrolliert.
Zahlreiche Anfragen von Unternehmen wegen „mangelhaften Standardverträgen“
Ursächlich für die koordinierte Prüfungsaktion sind unter anderem die zahlreichen Anfragen der verantwortlichen Unternehmen bei den Datenschutzbehörden. Die Unternehmen mussten feststellen, dass die von den jeweiligen Webhostern angebotenen Auftragsverarbeitungsverträge nicht den Anforderungen der Datenschutzgrundverordnung („DSGVO“) entsprechen.
Laut den Datenschutzbehörden berichten viele Unternehmen und andere Organisationen „von mangelhaften Standardverträgen, die die Webhoster nicht gewillt sind zu ändern.“ Die Prüfung der Datenschutzbehörden bestätigt diesen Eindruck. Häufig fehlt den Verträgen eine ausreichende Regelung, die die Webhoster verpflichtet, die Umsetzung von vereinbarten Datenschutzmaßnahmen nachzuweisen.
Für die betroffenen Unternehmen kann das zu großen Problemen führen. Schließlich müssen sie als Verantwortliche nachweisen können, dass die Vorgaben des Datenschutzes eingehalten werden und können bei fehlender Umsetzung mit hohen Bußgeldern belegt werden (bis zu 20.000.000 EUR oder zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist gem. Art. 82 DSGVO).
Vorgehensweise der Datenschutzbehörden
Die Datenschutzbehörden wollen Verantwortliche und Webhoster beim Abschluss von rechtskonformen Auftragsverarbeitungsverträgen unterstützen. Sie beabsichtigen, die Musterverträge von ausgewählten Webhostern mit Sitz in den Bundesländern der beteiligten Datenschutzbehörden zu überprüfen. Zu diesem Zweck haben die Datenschutzbehörden eine Checkliste nebst Anwendungshinweisen erstellt, die sie den Webhostern bereitstellen.
Unsicherheit bei Klauseln zum Drittstaatentransfer
Interessant dürfte die Prüfung der Verträge zur Auftragsverarbeitung mit Blick auf die Klauseln zum Drittstaatentransfer sein. Erst kürzlich hat die Vergabekammer Baden-Württemberg in ihrem (noch nicht rechtskräftigen) Beschluss vom 13. Juli 2022 (Az. 1 VK 23/22) festgestellt, dass die einschlägigen Vertragsklauseln zur Vertraulichkeit von Kundendaten eines amerikanischen IT-Dienstleisters unzureichend seien. Innerhalb des Konzernverbunds bestehe trotz eines Rechenzentrums in der EU das Risiko des Zugriffs auf personenbezogene Daten durch US-Behörden. Diese Gefahr könne durch die einschlägigen Vertragsklauseln zur Vertraulichkeit von Kundendaten nicht abgewendet werden.
Kritik von der Datenschutzbehörde Baden-Württemberg
Die Entscheidung der Vergabekammer ist jedoch kritisch zu betrachten. So erklärt der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg, die Vergabekammer würde fälschlicherweise das Zugriffsrisiko auf und die Übermittlung von Daten gleichsetzen. Die DSGVO habe einen „risikobasierten Ansatz“ zugunsten Verantwortlicher eingeführt, welcher durch die Entscheidung der Kammer zu Lasten der Verantwortlichen und Auftragsverarbeiter umgedreht würde. Die Argumentation der Kammer übersehe, dass gegen Zugriffsrisiken wirksame Gegenmittel in Gestalt sog. „technisch-organisatorischer Maßnahmen“ existieren.
Praktische Folgen
Grund zur Sorge vor einer Unwirksamkeit bestehender Verträge und Vereinbarungen besteht derzeit nicht. Während die Entscheidung der Vergabekammer noch vom Oberlandesgericht Karlsruhe (Az. 15 Verg 8/22) geprüft wird, zielt die Aktion der Datenschutzbehörden auf eine Stärkung der betroffenen Seitenbetreiber und Webhoster ab. Barbara Thiel, die Landesbeauftragte für Datenschutz Niedersachen erklärt: „Wir wollen sowohl Verantwortliche als auch Auftragsverarbeiter dabei unterstützen die Anforderungen der DSGVO einzuhalten und so für mehr Rechtssicherheit sorgen.“